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Feed-back on Guidelines 07/2020 on the concepts of controller and 


processor in the GDPR 
We appreciate the opportunity to provide feedback on Guidelines 07/2020 on the concepts of 
controller and processor in the GDPR. 


In the assurance the commission keep resources for translation we prefer to provide our feed- 
back in Swedish. 


Dataskyddsförordningens övergripande syfte är att ge skydd för fysiska personer med avseende 
på behandlingen av personuppgifter (1 artikel 1 punkt). Åtminstone underförstått verkar också 
finnas en grundläggande idé om att den registrerade har rättigheter som denne ska kunna utöva 
mot den personuppgiftsansvarige (se t.ex. 11 och 26 artiklarna). 


Dataskyddsförordningen fastställer också att det är den bestämmer ändamålen och medlen med 
behandlingen som är personuppgiftsansvarig (4 artikel 7 punkt). Här kan man naturligtvis alltid 
hamna i en gränsdragningsfråga vad det innebär att bestämma ändamålen och medlen. De nya 
riktlinjerna är emellertid föredömligt tydliga på denna punkt att detta gäller i en mycket 
övergripande mening och inte behöver innefatta beslut om detaljer såsom algoritmer, 
programvara med mera (Guidelines 30-42 punkterna). 


Det har inte tidigare varit tydligt huruvida man kan vara personuppgiftsansvarig utan att själv 
vara i besittning av personuppgifterna. Även här är riktlinjerna mycket tydliga. Man kan vara 
personuppgiftsansvarig utan att någonsin vid någon tid vara i besittning av personuppgifterna 
(Guidelines 42 punkt). 


Konsekvenser vad gäller marknads- och opinionsundersökningar 

Vi är ett företag som utför marknads- och opinionsundersökningar. Vi har vid flera tillfällen 
diskuterat med våra kunder vem som är personuppgiftsansvarig. Guidelines innehåller ett 
exempel med en marknadsundersökning. Med hänsyn till det som står i exemplet och det som 
står i punkt 42 precis före exemplet blir slutsatsen att alla kundbeställda undersökningar skulle 
vår kund vara personuppgiftsansvarig och vi skulle vara personuppgiftsbiträde. I alla 
kundbeställda uppdrag har kunden ett stort inflytande och det slutliga inflytandet över såväl 
frågor om från vilket register man ska göra urval (det kan vara ur kundens eget register eller ur 
något annat register såsom befolkningsregistret) och vilka frågor som ska ställas. Ett undantag 
är de fåtal tillfällen när vi ställer frågor på ”spekulation” och i efterhand försöker sälja resultatet. 


Om vi bortser från det sista fallet när vi ställer frågor på ”spekulation” så kan vi urskilja fyra 
huvudtyper av kundbeställda uppdrag. I samtliga bestämmer kunden slutgiltigt vilka frågor som 
ska ställas även om utarbetandet av de specifika frågorna oftast är en ganska stor del av vårt 
kompetensområde och uppdrag. 
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Urval från kundregister 
I många undersökningar tillhandahåller kunden ett register. Oavsett om vi återrapporterar 


personuppgifter eller enbart statistisk information tycker vi att det är entydigt att det är kunden 
som är personuppgiftsansvarig och vi är personuppgiftsbiträde. Det är mot vår kund som den 
registrerade ska utöva rättigheter, även om vi kan ha vissa åtaganden som personuppgiftsbiträde 
att representera vår kund. Den registrerade kan dock alltid rikta sina rättigheter mot vår kund. 


Urval där undersökningsföretaget tillhandahåller register 

I andra undersökningar tillhandahåller kunden inte register för urval utan vi tillhandahåller 
urval ur något register. Registret kan vara vår egen webb-panel eller det kan vara ett register 
varur vi köper urval, till exempel ett urval från befolkningsregistret eller ett urval av 
slumpmässiga telefonnummer. 





I sällsynta fall återrapporterar vi personuppgifter till vår kund när vi har tillhandahållit urvalet. 
Det vanligaste är kanske en vetenskaplig forskningsstudie där man vill göra en panelstudie och 
efter en tid återkomma med frågor till samma personer för att kunna följa förändringar på 
individnivå över tid. Även i dessa situationer är vår absoluta uppfattning att vår kund är 
personuppgiftsansvarig medan vi är personuppgiftsbiträde. Det är mot vår kund som den 
registrerade ska utöva rättigheter på samma sätt som om det hade varit ett register som vi hade 
fått från någon av våra kunder. 


I de flesta fall återrapporterar dock inte personuppgifter tull vår kund. Snarare vill kunden 
undvika att behöva riskera att hantera personuppgifter, vilket torde vara till skydd för den 
registrerade. Som leverantör av den aktuella undersökningen är vi enbart intresserade av att få 
svar på de specifika frågorna. Vår kund skulle kunna ha ett vidare intresse av personuppgifterna 
för till exempel marknadsföring. Kunden vill i normalfallet dock inte ha tillgång till de 
uppgifterna. 


Såsom Guidelines tolkar dataskyddsförordningen (42 punkt samt exemplet om 
marknadsundersökningar) skulle vår kund trots det vara personuppgiftsansvarig och vi vara 
personuppgiftsbiträde trots att hela avsikten med arrangemanget att vi tillhandahåller urval utan 
annan inblandning av vår kund än ett beslut om typ av urvalskälla (till exempel 
befolkningsregistret men inte vilken av de tänkbara leverantörerna av urval från 
befolkningsregistret) är att vår leverantör ska slippa all behandling av personuppgifterna. 
Kunden vill bara ha statistisk information. 


Det finns ett metodologiskt problem när det är vår kund som är personuppgiftsansvarig vilket 
kommer att påverka förutsättningarna för både offentliga aktörer och kommersiella aktörer att 
få objektiva resultat. Dataskyddsförordningens artikel 13 fastställer att vi, när vi samlar in 
personuppgifter, ska ge den registrerade information om vem som är personuppgiftsansvarig. I 
många situationer påverkas de tillfrågades attityder av vem som är uppdragsgivare. Ett exempel 
skulle kunna vara om vi gjorde en undersökning om attityder till vaccin åt en statlig myndighet 
som arbetar med vaccinfrågor. Att då tala om vem som är personuppgiftsansvarig (enligt 
Guidelines tolkning i det här fallet den statliga myndigheten) skulle sannolikt påverka de svar 
vi får eftersom vi skulle få negativa attityder inte bara från dem som är genuint negativa till 
vaccin utan även från dem som är negativa till statliga myndigheter men kanske inte till vaccin. 
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Enda sättet att lösa denna problematik vore att vi som leverantör av undersökningen finge vara 
personuppgiftsansvariga. Enligt vår mening borde detta vara möjligt. Vi tycker inte att vår 
verksamhet ligger särskilt långt från Guidelines exempel med den juridiska rådgivningen. 


Minst lika allvarligt är att Guidelines tolkning i det här fallet av personuppgiftsansvaret för 
negativa konsekvenser för den registrerades möjligheter att utöva sina rättigheter. Att betrakta 
vår kund som personuppgiftsansvarig i typsituationen där vi tillhandahåller urval och inte 
återrapporterar några personuppgifter försvårar enligt vår mening för den registrerade att utöva 
sina rättigheter enligt Artikel 15 och i någon mån Artikel 13. Det vore mycket enklare för den 
registrerade att utöva sina rättigheter om det vore vi, undersökningsföretaget, som vore 
personuppgiftsansvarig eftersom det är vi som vet något om personuppgiftsbehandlingen. 


Ännu mer problematiskt blir förhållandet om man överväger vart den registrerade ska rikta 
rättsliga anspråk. Den registrerade skulle i så fall behöva rikta eventuella rättsliga anspråk mot 
en personuppgiftsansvarig som inte har någon kännedom om den registrerade och som har 
ytterligt begränsad insyn i personuppgiftsbehandlingen. Antagligen vet personuppgiftsansvarig 
på sin höjd vilken typ av källa som har använts för urvalet men inte vilket av olika tänkbara 
register. Den i Guidelines föreslagna tolkningen skulle medföra registrerades möjligheter att 
utöva sina rättigheter kraftigt skulle försvåras, vilket torde vara i strid med 
Dataskyddsförordningens grundtanke. 


Dessutom. Med den i Guidelines föreslagna tillämpningen skulle vi åtminstone när den 
registrerade vill rikta några rättsliga anspråk mot personuppgiftsansvarig bli tvungna att dela 
personuppgifter med vår kund och låta dem komma i besittning av dem. Detta torde strida mot 
dataskyddsförordningens grundprincip om att minimera behandlingen av personuppgifter. 


Ett alternativ är naturligtvis att personuppgiftsansvarig hävdar Dataskyddsförordningens 11 
Artikel 2 punkt om att den inte är i stånd att identifiera den registrerade, men det är nog en 
kraftig övertolkning av den artikeln och i strid med Dataskyddsförordningens grundtanke om 
att förenkla för den registrerade att utöva sina rättigheter. 


För att göra det enklare för den registrerade att utöva sina rättigheter förordar istället att det i 
situationen när vi som leverantör tillhandahåller urval och inte återrapporterar personuppgifter 
borde vara vi som är personuppgiftsansvarig. Det skulle dessutom stärka skyddet av 
personuppgifterna eftersom de inte under några omständigheter skulle behöva spridas till vår 
kund. 


Med vänliga hälsningar 
Oscar Hultåker 
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